批量检测恶意网址,利用微步api

最新推荐文章于 2024-06-19 14:45:00 发布
最新推荐文章于 2024-06-19 14:45:00 发布
阅读量4.6k 收藏 9
点赞数 1
分类专栏: python 文章标签: python 微步 爬虫 url检测 恶意网址检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39229739/article/details/102858198
版权

最近emotet银行木马肆虐,我在分析网站上爬取了emotet木马相关的恶意网址,

大约3万条,由于原网站上夹杂了一些正常网站也被爬取了下,而且有些恶意网址也不确定是否准确,所以准备将结果再次发送到微步在线进行检测,过滤一遍,把正常网站去除,只留下,被微步判定位“恶意”和“可疑”的网址。

微步的api文档https://s.threatbook.cn/api

下面是本人的代码,写的比较简陋,毕竟不是搞开发,能完成任务就好。

python2.7版本

# -- coding: utf-8 --
import requests
import time
from requests.adapters import HTTPAdapter
import random


#设置超时重连
s = requests.Session()
s.mount('http://', HTTPAdapter(max_retries=3))
s.mount('https://', HTTPAdapter(max_retries=3))


USER_AGENTS = [
    "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/535.20 (KHTML, like Gecko) Chrome/19.0.1036.7 Safari/535.20",
    "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.71 Safari/537.1 LBBROWSER",
    "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.84 Safari/535.11 LBBROWSER",
    "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)",
    "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 732; .NET4.0C; .NET4.0E)",
    "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; SV1; QQDownload 732; .NET4.0C; .NET4.0E; 360SE)",
    "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 732; .NET4.0C; .NET4.0E)",
    "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1",
    "Mozilla/5.0 (iPad; U; CPU OS 4_2_1 like Mac OS X; zh-cn) AppleWebKit/533.17.9 (KHTML, like Gecko) Version/5.0.2 Mobile/8C148 Safari/6533.18.5",
    "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:2.0b13pre) Gecko/20110307 Firefox/4.0b13pre",
    "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:16.0) Gecko/20100101 Firefox/16.0",
    "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11",
    "Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10"
]


url = "https://s.threatbook.cn/api/v2/url/report"
count = 0
with open("emotet_url_05_11.txt", 'r') as f:
    lines = f.readlines()
    for line in lines:
        params = {
            "apikey": "替换成你的key,可在个人中心查看",
            "url": line.strip()
        }
        #随机UA
        headers = {"User-Agent": random.choice(USER_AGENTS)}

        response = s.get(url, params=params,headers=headers,timeout=5)
        print(response.json())
        res = response.json()
        if res["response_code"] == -1:
            print "提交失败"
            continue
        else:
            result = res["data"]["threat_level"]
            maleware_url = res["data"]["details"]["url"]
            if result != "clean":
                with open("maleware_url.txt", "a") as f:
                    f.write(maleware_url + "\n")
                    count += 1
                print "恶意url写入{}个".format(count)
                time.sleep(0.7)

这里讲下本人遇到的问题,

1、由于检测的网址数量多,需要长时间,发送请求,在等待响应的时候,经常间隙性短线,

后来加入了断线重连功能,和随机UserAgent

才正常可以不间断的发送请求。微步普通用户每分钟不能超过100次请求,不然就断开连接,所以加了0.7的延迟,1分钟大约85次请求。

对返回的状态码做了判断

对返回的thread_level做了判断,只要不等于clean即使恶意的url,就保存到本地文件。

clean是正常

suspicious是可疑

malicious是恶意

题外话

2、做爬虫一定要先观察目标网站的详细信息,先分析爬取中可能遇到的问题,然后再写爬虫,就不会在后面写好了又改功能。

我一开始写的时候只有三步:

1、获取目标html。

2、解析html,定位自己需要数据

3、保存数据到本地文件

理论是这么搞,可是还有很多细节没考虑到,不管大小爬虫,都应该加上随机UA,断线重连,这是最基本的。如果长时间爬取数据,还要考虑反反爬技巧,加入代理池。爬大型数据的还要考虑多线程分布式爬取。

好了,今天总结就到这!

芳华9166
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
微步在线云API-python批量检测IP脚本
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-03 3345
针对入站场景的IP进行分析, 能够提供IP的地理位置、ASN信息,通过判定规则精准判别IP是否恶意、风险严重级别、可信度级别;识别威胁类型,如:漏洞利用(exploit)、傀儡机(Zombie)、代理(Proxy)、可疑(Suspicious)等及相关安全事件或团伙标签。...
恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意
m0_58269070的博客
04-07 877
/接口参数,一行一个,可按照接口文档-请求参数 的参数填写,或者直接复制开发工具下面的测试代码。‘参数名’ => ‘参数值’,//签名校验的 SK:(在用户控制台https://www.youwk.cn/user/key的秘钥安全设置->签名校验 开启后才会生效,没开启签名校验留空即可。/*发起请求API接口:第1个参数:API接口地址URL,跟上面的同名变量相对应,无需更改。第2个参数:API接口参数数组,跟上面的同名变量相对应,无需更改。
腾讯域名拦截检测API.zip
04-08
如果API失效后可用浏览器,进入https://urlsec.qq.com/check.html 点击查询然后用开发者工具,点击network查看参数进行修改即可 批量查询请写for循环,个人检测可直接调用输出json格式,如果想要实时监测可写发信系统再加定时任务
使用Python实现自动化查询IP威胁情报
最新发布
2401_84466225的博客
06-19 1149
参考平台的API文档对威胁类型进行整理,因包含恶意、非恶意的威胁类型,我们分别定义了全量威胁类型、非恶意威胁类型两个字典。# 定义全量威胁类型字典'C2': '远控', 'Botnet': '僵尸网络', 'Hijacked': '劫持', 'Phishing': '钓鱼', 'Malware': '恶意软件','Exploit': '漏洞利用', 'Scanner': '扫描', 'Zombie': '傀儡机', 'Spam': '垃圾邮件', 'Suspicious': '可疑',
批量检测链接是否有效
qq_40227419的博客
08-06 5321
因为公司会在很多平台发布传播消息,最后需要将各个网站传播的网址收集起来,去找其它公司报账。每个月大概会有1000多条的网址需呀检测是否有效,于是写了个测试链接是否有效。 首先考虑的是用状态码,访问成功返回200,地址错误回返回404等其它错误码 response = requests.get(url, headers=headers) if str(response.status_code) == "200": 结果发现,现在很多网站即使是4
微步在线威胁情报通报:WannaCry勒索蠕虫存在秘密开关
weixin_33890499的博客
09-01 596
近日,微步在线捕获到一款新型勒索软件用于对全球范围内的目标发起大范围的攻击,多家安全公司将该勒索软件命名为“WannaCry”。微步在线对该事件中收集到的样本进行了紧急的分析,发现攻击样本中存在一个开关:样本启动后会首先请求域名一个秘密开关域名(具体见附录IOC),请求失败后即开始执行加密,相反,请求成功后立即退出,不执行加密。根据微步在线的威胁分析平台...
爬取微步,导入文件进行爬取
weixin_35755823的博客
01-13 103
爬取微博数据可以使用Python中的爬虫库如requests、BeautifulSoup等进行爬取。首先需要导入这些库,然后使用类似于http请求的方式访问微博网页,获取网页源代码。之后使用BeautifulSoup解析网页源代码,提取需要的信息。最后将爬取到的数据导入文件中进行保存。 ...
X微步综合检测API.zip
08-24
"X微步综合检测API.zip" 是一个包含多种文件的压缩包,主要用于漏洞验证和安全检测。这个项目可能是一个自定义的自动化安全测试框架,它整合了不同的功能模块,以帮助用户快速检测和验证系统中的安全漏洞。让我们...
易语言-post上传文件源码 微步云沙箱检测例程
06-26
微步云沙箱是一种云安全服务,它可以对未知文件进行动态行为分析,检测潜在的恶意行为。在上传文件到微步云沙箱进行检测时,开发者需要先将文件上传到其指定的接口,然后获取返回的检测报告。这通常涉及到API调用,...
微步TH87G-P BIOS 支持 i5 4590t
09-27
微步TH87G-P是一款基于Intel芯片组的主板,主要设计用于支持各种Intel Core处理器。在BIOS(基本输入输出系统)的管理下,主板能够识别并支持不同的CPU型号。BIOS是计算机启动时首先运行的一段固件,它负责初始化...
sysmon-dfir, 源配置及利用微软Sysmon检测恶意物的方法.zip
09-17
sysmon-dfir, 源配置及利用微软Sysmon检测恶意物的方法 Sysmon - DFIR用于学习部署,管理和搜索 Microsoft Sysmon的资源的精选列表。 包含演示。部署方法。配置文件示例。博客和其他github存储库。 Sysmon学习资源...
微步URL资源检索结果爬虫
10-20
微步URL资源检索结果爬虫
凌波微步软件开发警戒案例集
11-13
鉴于其他资源需要积分,所以重新上传了一份,本不想设积分,但资源上传不能设置0积分。
26、威胁软件、文件、网址在线检测平台
__Qian的博客
03-09 1264
1、微步在线 提供网址和文件在线检测,可通过IP、网址域名和文件进行查询。 官网地址:https://x.threatbook.cn/ 2、virustotal VirusTotal不仅告诉您给定的防病毒解决方案是否将提交的文件检测恶意文件,而且还显示每个引擎的检测标签(例如I-Worm.Allaple.gen)。URL扫描程序也是如此,大多数扫描程序会区分恶意软件站点,网络钓鱼站点,可疑站点...
API攻击原理,以及如何识别和预防
小王的技术库
07-27 414
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
分享一个微信域名拦截检测API接口以及官方的调用文档
KeyKOORY的博客
12-05 550
背景 由于微信限制比较严格,域名很容易会被判定一下几种情况: 1、诱导分享 2、非微信官方网页 3、网页包含恶意欺诈内容 4、已停止访问该网页 5、如需浏览请长按复制浏览器打开 6、其他等等情况! 出现这一问题之后,自己的业务往往会受到巨大影响。使用微信域名检测接口是为了方便检测自己的域名状态,及时获取自己域名在微信的状态,域名是否被微信查封。方便自己及时更换推广域名! 微信...
恶意IP检测API接口,恶意IP威胁情报查询,通过大数据查询IP是否存在威胁或恶意
QQ799629269
06-09 1970
在当前的网络安全环境下,恶意攻击已经成为常态化,各种类型的攻击不断涌现,其中大部分的攻击都是通过IP地址发起的。因此,对IP地址的安全性进行监控和检测,是保障网络安全的重要手段之一。例如,通过使用互联网安全公司提供的恶意IP检测API接口,可以通过简单的编程实现对所需IP地址的检测,从而在短时间内获取协同全网的涉恶IP情报。需要注意的是,恶意IP检测和威胁情报查询只是网络安全防护体系的一部分,建议企业在进行恶意IP检测和威胁情报查询的同时,也要综合运用多种网络安全技术和手段,形成全方位的网络安全防护体系。
机器学习实现恶意URL检测实战一
热门推荐
学而思(xiejava的blog)
12-09 1万+
恶意URL检测的方法很多,这里介绍通过机器学习分析URL文本分词词频来检测恶意URL。训练的数据集为开源数据集,通过机器学习训练检测模型,然后做了部分工程化的应用,将模型持久化,在应用的时候加载进来直接应用,不用重新进行训练。通过接口调用实现恶意URL检测预测判断。 恶意URL检测,对应与机器学习是个分类问题,这里分别用逻辑回归和SVM支持向量机分类模型进行模型实现。 具体实现过程包括数据载入–>数据处理(分词、向量化处理)–>模型训练–>模型保存–>模型应用 项目组织结构如下:
毕业设计-基于DGA 恶意域名检测算法
Hai_Lang_IT的博客
03-17 1022
毕业设计-基于DGA 恶意域名检测算法:域名解析系统已经发展成为了国际互联网中一个完全不可能被忽视且重要的一个关键的基础网络设施和信息服务 , 难以避 免被域名利用者非法利用。在深入地分析研究了网络僵尸病毒网络与 DGA 等恶意域名的应用之后 , 对当前网络市场上各种主流恶意 域名安全检测解决技术特点进行了分析比较 , 并初提出了一种基于字符特征来改善网络恶意域名检测技术的理论框架。域名解析系统 (DomainNameSystem,dns) 作为目前互联网 最重要的信息技术和核心信息基础服务设施之一 ,
python获取微步在线子域名
08-11
Python可以使用微步在线子域名API来获取微步在线子域名。以下是一个简单的示例代码: ```python import requests def get_weibo_subdomains(domain): url = "https://api.threatbook.cn/v3/scene/subdomain" headers = { "Content-Type": "application/x-www-form-urlencoded", } data = { "apikey": "YOUR_API_KEY", "resource": domain, } response = requests.post(url, headers=headers, data=data) if response.status_code == 200: subdomains = response.json().get("data") if subdomains: return subdomains else: return "No subdomains found for the domain." else: return "Failed to retrieve subdomains." # 使用示例 domain = "example.com" subdomains = get_weibo_subdomains(domain) print(subdomains) ``` 在代码中,首先需要替换掉`YOUR_API_KEY`为你自己的微步在线API密钥。然后,通过构建请求头和请求体,向微步在线API发出POST请求。如果返回的状态码为200,则将返回的JSON数据中的子域名提取出来并返回。如果没有找到子域名,则返回相应的提示信息。 注意:使用微步在线API需要一个有效的API密钥。如果你没有API密钥,可以注册一个微步在线账号并申请API密钥。此外,该API可能会受到每日查询限制或访问速率限制,请在使用之前查阅API文档了解更多细节。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值